Apache James IMAP 文字串漏洞导致拒绝服务

Apache James 是一款广泛使用的邮件服务器软件,然而,最新发现的一项漏洞使得该软件面临着严重的安全风险。具体来说,这个漏洞涉及到 IMAP 文字串的滥用,从而导致拒绝服务攻击。

受影响版本

该漏洞影响以下版本的 Apache James 服务器:

  • Apache James 服务器 3.7.5 之前的所有版本
  • Apache James 服务器 3.8.0 至 3.8.1 的所有版本

漏洞描述

这个漏洞与之前的 CVE-2024-34055 类似,Apache James 服务器在处理 IMAP 文字串时存在问题。无论用户是否经过身份验证,都可以利用这种漏洞引发无限内存分配和非常长的计算,从而导致系统拒绝服务。需要注意的是,版本 3.7.6 和 3.8.2 已经修复了这种非法使用 IMAP 文字串的行为。

给予信用

这个漏洞报告由 Xavier GUIMARD 提出,Benoit TELLIER 负责协调。有关更多信息,请访问 Apache James 官方网站或 CVE.org。